Hace pocos días nuestro compañero Oscar recibió un correo en el que se le invitaba a acceder a una página web por medio de un link, nada nuevo bajo el sol. Al hacer click en dicho enlace (niños, esto no lo hagáis en vuestras casas 😉 ), nos aparece la siguiente página:

desktopvul

Como se puede ver, al entrar en la página enlazada nos aparece una ventana de descarga, en la que nos invitan a bajarnos un fichero llamado 60.pdf. Y como nosotros somos muy curiosos nos descargamos el fichero. Al abrir sólo nos encontramos con un documento pdf, de sola página en blanco; mal asunto. Pero si lo estudiamos un poquito, veremos que este PDF contiene diferentes exploits que afectan a diferentes vulnerabilidades, dependiendo de la versión de Acrobat Reader que tengamos instalada.

Primera vulnerabilidad CVE-2008-2992

Si la versión de nuestro lector de pdf es superior a la 8 explotará la vulnerabilidad CVE-2008-2992.

Exp1

La vulnerabilidad explota un error al procesar cadenas de formato que provocaría la ejecución de código por parte del atacante.

La segunda vulnerabilidad CVE-2008-0015

Explota una vulnerabilidad que existe en los lectores inferiores a la versión 8.

Exp2 Utiliza la técnica heap spraying, que consiste en introducir cierta cadena de bytes en un lugar de la memoria predeterminado para su ejecución. Es una técnica común utilizada, entre otras,  para explotar las vulnerabilidades de los navegadores.

Tercera vulnerabilidad. CVE-2009-0927

Exp3Exploit que permite la ejecución remota de código.

Todas las vulnerabilidades poseen su correspondiente parche de seguridad desde hace bastante tiempo, es decir, las vulnerabilidades no son nuevas, pero parece un sistema muy efectivo ya que no dejan de utilizarlo.

El malware que instalaba era… ¡no, esta vez no es un falso antivirus! Esta vez se trata de un troyano bancario…

Esta entrada ha sido escrita en nombre de JJ Ruiz de Loizaga.